Система управления использует расширенные методы обеспечения безопасности:
XSS (тип ошибки CWE-79) — это довольно распространенная уязвимость, при которой злоумышленник внедряет на страницу JavaScript-код. Частым источником XSS-уязвимостей является ошибки при интеграции клиентского макета вне зависимости от используемой системы управления.
В систему управления внедрена активная защита от XSS-атак, которая включается в опциях каждого сайта и называется «Защита от атак», в случае обнаружения потенциально опасных данных, они исключаются из принимаемых данных, а в логах об этом делается соответствующая запись.
Дополнительно защитить сайт от XSS-атак позволяет правильная настройка Content Security Policy, которая удобно конфигурируется для каждого сайта в системе и описана ниже.
Дополнительный уровень безопасности, позволяющий распознавать и устранять определенные атаки Cross Site Scripting (XSS) и внедрения данных. Вы можете настроить политики безопасности для каждого сайта, установив соответствующие опции.
В системе управления применяется мандатная политика безопасности, при которой права доступа к разделам системы устанавливаются для отделов компании.
Отдел компании имеет два уровня прав:
Администраторы имеют максимальные права и доступ ко всем действиям всех сайтов, поддерживаемых экземпляром системы управления.
Сотрудник с установленным атрибутом «Доступ только к элементам сотрудника» имеет право действий только над теми элементами, которые он создал сам или над элементами, не имеющими владельца. Атрибут «Доступ только к элементам сотрудника» не действует на привилегированных пользователей.
Права доступа к модулям позволяют разграничить управление модулями каждого сайта. Например, редакторам сайта нет необходимости иметь доступ к разделу «Типовые динамические страницы» или «SQL-запросы».
Права доступа к действиям позволяют провести тонкую настройку прав на выполнение действий форм. Администратор имеет возможность предоставить пользователям доступ ко всем действиям формы как с помощью групповых операций «Разрешить все действия» и «Запретить все действия», так и с помощью подробной настройки прав.
1Хэш-код — результат преобразования данных произвольной длины в строку фиксированной длины, при которых изменение входных данных приводит к непредсказуемому изменению выходных данных. Однозначное соответствие между исходными данными и хэш-кодом отсутствует.